NIS-2
Verschärfte Cybersicherheits-Pflichten – jetzt für viele mittelständische Unternehmen.
Sind Sie betroffen?
Mit dem kostenlosen, anonymen Selbsttest des BSI prüfen Sie in wenigen Minuten, ob Ihr Unternehmen unter NIS-2 fällt.
Was ist NIS-2?
Die NIS-2-Richtlinie der EU verschärft und erweitert die Anforderungen an die Cybersicherheit. In Deutschland ist sie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) umgesetzt.
Seit wann gilt es?
Das deutsche NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft – ohne Übergangsfrist. Das Meldeportal des BSI ist seit Januar 2026 aktiv; die Registrierungsfrist für betroffene Unternehmen lief bis 6. März 2026.
Wer ist betroffen?
Rund 29.500 Unternehmen in Deutschland – „wichtige“ und „besonders wichtige“ Einrichtungen ab bestimmten Größen in 18 Sektoren (u. a. Energie, Gesundheit, Transport, IT, Lebensmittel, Maschinenbau, Abfall). Auch viele mittelständische Unternehmen fallen erstmals darunter.
Welche Pflichten?
- Risikomanagement und technische sowie organisatorische Sicherheitsmaßnahmen
- Meldepflichten bei Sicherheitsvorfällen (Frühwarnung binnen 24 Stunden)
- Registrierung beim BSI
- Direkte Verantwortung der Geschäftsleitung
Was sollten Unternehmen tun?
- Betroffenheit prüfen und beim BSI registrieren
- Sicherheitsmaßnahmen und Notfallpläne umsetzen
- Lieferkette und Dienstleister einbeziehen
- Geschäftsleitung und Mitarbeitende schulen
Weiterführende Links
- BSI – NIS-2 für regulierte Unternehmen
- BSI – NIS-2-Betroffenheitsprüfung (Selbsttest)
- Europäische Kommission – NIS2-Richtlinie
Stand: Juni 2026 · Diese Übersicht wird regelmäßig aktualisiert und ersetzt keine Rechtsberatung.
Fragen zum Thema?
Wir unterstützen Sie bei der praktischen Umsetzung – unverbindlich im Erstgespräch.